Недавно Google объявил, что они поддерживают OAUth для Gmail IMAP/SMTP. Я просмотрел их несколько документов, но все же я смущен, если они поддерживают OAuth для установленных приложений.Gmail IMAP OAuth для настольных клиентов
1. В this documentation они говорят:
Примечание: Хотя протокол OAuth поддерживает рабочий стол/встроено использовать приложение случай, Google только поддерживает OAuth для веб-приложений.
Но у них также есть документ для OAuth for installed applications.
2. Когда я прочитал OAuth specification указал на них, он говорит (раздел 11.7):
Во многих приложениях, приложение Consumer будет находиться под контролем потенциально ненадежных сторон. Например, если , если потребитель является бесплатным настольным приложением , злоумышленник может загрузить копию для анализа. В таких случаях злоумышленники смогут восстановить секретный секрет потребителя , используемый для аутентификации потребителя Поставщику услуг.
Также я считаю, что отказ от ответственности в пункте 1 выше составляет около Google Data APIs, и, несомненно, IMAP/SMTP не является их частью.
Я понимаю, что для установленных приложений я могу иметь установки, как:
Есть небольшой веб-приложение на скажем example.com для моего приложения. Это веб-приложение говорит о том, что Google получает токен доступа.
Установленное приложение ведет переговоры с example.com только для получения токена доступа.
Установленное приложение затем разговаривает с Google с помощью токена доступа.
Я сейчас смущен. Это единственный способ? Кроме того, если я делаю OAuth из настольного приложения, мы должны отправить секретный ключ Consumer с помощью приложения. Тогда мы не сможем сохранить секретность ключа потребителя.
По-прежнему клиент рабочего стола должен поставляться с Секретным секретом. Не так ли? – Sabya
Что это значит? – systempuntoout
Уточненный в вопросе. – Sabya